Jump to content

Recommended Posts

DS Firewall (Модуль защиты)


DS Firewall (Модуль защиты)


dsfirewall_www.jpg

DS Firewall OpenCart - модуль защиты интернет магазинов на OpenCart защита от интернет угроз.

1 Защита cookies

2 Защита от ботов

3 Защита от XSS

4 Mini dos защита

5 Защита от sql-инъекций

6 Защита от червя

7 Запросы GET метод

8 Запросы POST метод

9 Защита запросов

10 Защита URL

список постоянно пополняется...

Краткая презентация: DS Firewall (модуль защиты)

Алгоритм работы модуля.

Модуль состоит с двух частей.

Админ часть

Необходима для настроек и управления модулем.

Пользовательская часть

Это непосредственно сам скрипт защиты.

Защита состоит с нескольких алгоритмов фильтрации, которые разделяют по типам.

Основой алгоритм работы заключается в фильтрации запросов и выявление в запросе потенциально опасных данных.

Под потенциально опасными данными имеется веду запросы, которые приходят на Ваш сервер от злоумышленников и несут в себе команды, sql иньекции, php код и.т.д.

Также модуль отклоняет запросы от ботов и мини dos атак.

Сейчас тестируется новая функциональность - фильтрация загрузки файлов на сайт.

Идеи будущего:

В планах - создание:

  • IP фильтрации,
  • гео фильтрации,
  • менеджера условий, в котором каждый администратор сможет добавлять свои условия срабатывания модуля
  • сканер прав доступа и установка рекомендуемых на каталоги и файлы.
  • импорт базы черного списка IP

Простой пример работы:

К примеру ситуация. Вам нужен модуль форма обратной связи.

Вы искали этот модуль и совсем не важно с каких источников, но нашли вроде то, что Вам необходимо было.

Скачали, установили в свой магазин, настроили (модуль обратной связи), проверили его, вроде работает и все хорошо.

Но к сожалению, мы не можем быть уверены в том, что этот модуль(к примеру: модуль обратной связи), который мы скачали - на 100% безопасен и в нем нет уязвимых мест и уязвимого кода.

После установки такого модуля - мы можем дать злоумышленнику возможность сломать наш магазин.

Взлом магазинов происходит с помощью передачи запросов с определенными командами, SQL инъекциями, PHP кодом на уязвимость в модуле, таким именно образом злоумышленник и получает доступ к Вашему магазину.

Модуль защиты DS Firewall фильтрует запросы, отклоняя потенциально опасные.

Внимание!

Благодаря тому, что модуль запускается первее всего, соответственно первее чем магазин, через него проходят все запросы и он их обрабатывает, отклоняя все ненужные.

Внимание!

В модуле DS Firewall используется модуль Ioncube, который должен быть обязательно установлен на Вашем хостинге, сервере.

Внимание!

Модуль отлавливает все запросы. И не важно, запрос это на пользовательскую часть магазина или админ панель его или прямой запрос на вирус скрипт.

Пример: Если у Вас в корне лежит скрипт под названием virus.php, злоумышленник пытается передать на него запрос http://мой_сайт/virus.php - модуль защиты DS Firewall и в этом случаи будет фильтровать запрос и не допустит передачи в запросах SQL инъекции, php кода и других опасных команд.

Более подробно, о том как работают плохие модуля с уязвимостью в коде, как злоумышленники получают доступ к Вашим интернет магазинам и работу модуля защиты DS Firewall можно посмотреть в видео ниже.

Также для более чем реального примера предлагаю посмотреть модуль с уязвимостью badmodule.

скачать его можно, нажав ссылку далее : badmodule.zip

Внимание!

Устанавливайте этот модуль BADMODULE с уязвимостью ТОЛЬКО на тестовый магазин!

Инструкция по проверке:

1. Устанавливаем, копируем в свой интернет магазин

2. Выводим модуль со схемой Product

3. Проверяем сайт, вывод модуля

4. Далее тестируем уязвимость, запрос http://адрес_Вашего_сайта/catalog/controller/module/badmodule.php?code=echo "phpinfo()";

5. После чего, Вы увидите уязвимость, а именно то, что модуль выполнит php функцию, которою Вы передали в запросе и выведет информацию о PHP,

Так после установки такого модуля, злоумышленник может сломать Ваш сайт.

Модуль DS Firewall - остановит этот процесс, так как он фильтрует запросы и не дает их выполнять.

Сейчас этот модуль "badmodule" установлен на другой тестовой площадке, ссылка ниже.

http://oc-en.dev.webds.net/catalog/controller/module/badmodule.php?code=echo phpinfo();

Но перейдя по ней Вы увидите запрет доступа!

Внимание!

Для большего убеждения в работе модуля DS FIREWALL, я готов в любое время по требованию, включить Teamview, создать конференцию и показать свой рабочий стол.

При этом когда участники все будут готовы, я при них отключу модуль и каждый сможет выполнить свой вредоносный запрос на уязвимый модуль badmodule.[желательно не передавать функции которые что то удаляют)))))]

После того, как все получат положительные ответы на свои запросы, увидят что в системе присутствует модуль с уязвимостью, я включу работу модуля защиты, и опять предложу всем сделать те же запросы.

Внимание!

Вредоносные запросы можете сами выдумывать! НО они не должны иметь последствия полного вывода из строя тест площадки магазина, так как другие конференц пользователи могут не успеть свои выполнить запросы.

Установка DS Firewall (модуля защиты):

Шаг 1.

Скопировать в корень сервера архив upload.zip модуля DS Firewall.

Шаг 2.

Распаковать архив

Шаг 3.

Установить в админ панели

Шаг 4.

Перейти в раздел Настройки и выполнить 3 шага установки и настройи модуля.

Внимание!

1. Модуль не заменяет системных файлов (редактирование только htaccess) и не использует VQMOD.

2. При трудностях с установкой, помочь в установке могу предоставить в течение 3 дней после покупки.

3. При дополнительной финансовой поддержке модуля, Вы приобретаете постоянные 3 скидки. Детально можно прочесть об этом связавшись со мной или посмотрев демо.

4. Установка модуля происходит по условию: 1 сайт = 1 покупка

Демо:

Адрес сайта: http:\\oc.dev.webds.net

Админ панель : http:\\oc.dev.webds.net\admin

логин и пароль : demo

Видео "Что такое DS Firewall и для чего нужен":

Условия покупки.

Запрещена передача данного ПО третьим лицам, распространение от своего имени без получения разрешения автора модуля.

Запрещается публикация, распространение модуля без согласия автора в любых целях, будь то ознакомительных или любых других..


  • Добавил
  • Добавлено
    18.01.2015
  • Категория
  • Системные требования
  • Сайт разработчика
  • Старая цена
  • Метод активации
  • Ioncube Loader
  • OpenCart
  • ocStore
  • OpenCart.Pro, ocShop

 

Share this post


Link to post
Share on other sites

интересный модуль. Посмотрим на отзывы, а себе добавлю в список на возможную покупку.

Share this post


Link to post
Share on other sites

Судя по статистике в демо админке уже кто то тестит))

Share this post


Link to post
Share on other sites

Ставлю бутылку на то что вы скопировали код индийца, который сказал что он гавно и тут его продаете

Share this post


Link to post
Share on other sites
1 Защита cookies

2 Защита от ботов

3 Защита от XSS

4 Mini dos защита

5 Защита от sql-инъекций

6 Защита от червя

7 Запросы GET метод

8 Запросы POST метод

9 Защита запросов

10 Защита URL

 

 

Принцип, логика работы?

Или это очередной развод?

 

Что значит "защита url" :) Или защита "запросов"? get и post и так чиститься в opencart

Share this post


Link to post
Share on other sites

Доброй ночи.

Что то не приходят уведомления о том что кто то пишет в тему. Только заметили.

И так ответим

интересный модуль. Посмотрим на отзывы, а себе добавлю в список на возможную покупку.

В этом модули собраны некоторые условия, которые запрещают выполнять потенциально опасные запросы

Ставлю бутылку на то что вы скопировали код индийца, который сказал что он гавно и тут его продаете

Ставлю две бутылки на то, что если убрать Ваш негатив необоснованный, то кроме пустого места не чего не останется. ) Прошу не писать глупостей. Спасибо.

Принцип, логика работы?

Или это очередной развод?

Что значит "защита url" :) Или защита "запросов"? get и post и так чиститься в opencart

Нет.. развода...

Потом будет более по больше описание и по больше функционала а также в идея разработать менеджер условий, чтоб можно было их добавлять редактировать и отключать, а также более подробная статистика.

Принцип, логика работы?

Суть и алгоритм работы простой:

Каждый запрос перед выполнением анализируется по условиям заложенных в модуль. Если модуль видит что то неладное в запросе - возвращает ответ с заголовком 403. При этом пишет лог а также уведомляет администратора.

Описание каждой настройки будет чуть позже.

Сейчас время только на доработку, усовершенствование.

В планах :

- Управления загрузкой файлов.

- Менеджер условий

- IP фильтрация

- Интеграция с черными списками IP

- Гео фильтрация

и т.д.

Но посмотрим.. как заинтересуем народ на поддержку и покупку... Если будет успех - готовы развивать модуль.

Разница между этим следующая, в вкратце(подробно все будет в будущем описано)

Запросы GET метод - очистка от передачи с запросом команд /*простые фильтры*/

Запросы POST метод - очистка от передачи с запросом команд /*простые фильтры*/

Защита запросов - проверка на более глобальные сигнатуры кода в запросе.

Защита URL - это защита от цикличности а также фильтр запроса в котором рефер является сам же сервер.

Share this post


Link to post
Share on other sites

можно хотя бы 1 пример, от какого запроса спасет ваш модуль?

Share this post


Link to post
Share on other sites

можно хотя бы 1 пример, от какого запроса спасет ваш модуль?

Добрый день. 

 

Да, конечно без проблем.

С самых простых: 

 

1. передача  с запросом функции PHP для получения детальной информации о сервере и версии php

 http://oc.dev.webds.net/?phpinfo()    

 

 

2.SQL Injection

http://oc.dev.webds.net/index.php?path=57&product_id=49&route=(select(0)from(select(sleep(9)))v)/*%27%2b(select(0)from(select(sleep(9)))v)%2b%27%22%2b(select(0)from(select(sleep(9)))v)%2b%22*/ 

 

 

Посмотрите пожалуйста лог отчет файл: 

 

http://oc.dev.webds.net/logs_c6a1d125b69a58fc6cbd0059fd4128d6.txt

 

В нем Вы увидите много разных запросов, которые можете и сами протестировать, запустив с своего ПК.

Сегодня запустил тест сканер уязвимостей  на одном с интернет сервисов.

 

 

В будущем постараюсь создать больше примеров запросов с детальным описанием. Но сейчас основной направление на развитие модуля а не на описание.  

  • +1 1

Share this post


Link to post
Share on other sites

а можно работающие уязвимости? не вымышленные

проверяю на движке без вашей защиты http://ocstore15511.orcart.ru/

  • +1 1

Share this post


Link to post
Share on other sites

но ведь "такие" "запросы" и так ничего не отдадут и не покажут.

смысл?

Share this post


Link to post
Share on other sites

Также прошу Вас посмотреть лог-отчет по ссылке ниже:

 

http://oc.dev.webds.net/logs_c6a1d125b69a58fc6cbd0059fd4128d6.txt

 

Сегодня специально запустил сканер уязвимостей  на одном с online сервисов безопасности и поиска дыр. 

 

В лог файле Вы можете увидеть разные запросы их системы, которые останавливает модуль  и протестировать их самому.

 

Лог:

21-01-2015 16:50:02| GET protect | IP: 54.208.242.36 ] | DNS: ec2-54-208-242-36.compute-1.amazonaws.com | Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36 | URL: /index.php?path=57&product_id=%f6%22%20onmouseover%3dprompt(943526)%20//&route=product/product | Referer: http://oc.dev.webds.net/

 

дата и время

21-01-2015 16:50:02

 

тип защиты что сработал

GET protect 

 

IP откуда пришел запрос

IP: 54.208.242.36 

 

DNS сервера

DNS: ec2-54-208-242-36.compute-1.amazonaws.com 

 

Юзер Агент:

Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36   

 

Запрос на Ваш сервер

URL: /index.php?path=57&product_id=%f6%22%20onmouseover%3dprompt(943526)%20//&route=product/product

 

Referer:

http://oc.dev.webds.net/

Share this post


Link to post
Share on other sites

а можно работающие уязвимости? не вымышленные

проверяю на движке без вашей защиты http://ocstore15511.orcart.ru/

 

 

но ведь "такие" "запросы" и так ничего не отдадут и не покажут.

смысл?

 

 

Добрый день и Вам afwollis, freelancer 

 

По Вашим комментариям, я конечно могу ошибаться, но понял что Вы не понимаете что такое Firewall  в целом и зачем он нужен.

Для этого пожалуйста перейдите по ссылке и прочтите : Что такое и зачем нужен Firewall

 

freelancer  

Вымышленного не чего нет.

Я Вам предоставил запрос с явной сигнатурой атаки.

Прочтите пожалуйста Что такое Сигнатура атаки

 

 

От себя же скажу кратно: 

Этот модуль не дает выполнять опасные запросы на Вашем сайте, в которых есть наличие функций, команд, которые могут быть использованы для выполнения их в коде дыры и получения конфиденциальной информации.

 

Попробую навести относительный пример, в котором можно провести параллели. 

 

Пример: 

 

Если взять за основу сайта - вашу квартиру.

А запросы на Ваш сайт - ключи от квартиры.

Тогда модуль Firewall - охрана.

 

То будет следующая ситуация:

 

Вариант 1 (без Firewall) 

Злоумышленник достал ключи, открыл дверь и  вошел в квартиру.

 

Вариант 1 (с Firewall) 

Злоумышленник достал ключи, но вложить их в замочную скважину и открыть дверь чтобы  войти  в квартиру помешала Ваша охрана, которая увидела, что или  ключ  не оригинальный или ним хочет воспользоватся совсем незнакомый им человек.  

 

В реальности ребята afwollis, freelance за нормальных условий http://oc.dev.webds.net/?phpinfo()    и не должен не чего выводить, так как это был бы баг самого OpenCart.  Вы не совсем поняли в чем суть работы. 

 

 

Постараюсь объяснить:  

Выдумаем только одну ситуацию и разберем ее полностью.

 

Ситуация 1. 

Программист Иванов создал модуль и выложил его.

Пользователи OpenCart скачали и установили.

 

Возможно по не опытности или специально  программист Иванов в своем модуле создал дыру через которою

злоумышленник смог залить  вредоносный код.

 

Так вот, чтоб управлять этим вредоносным кодом - злоумышленник должен через запросы передавать данные (команды).

К примеру есть вредоносный код, который принимает запрос MYSQL и выполняет его, получая в ответ к примеру данные об входе в админ панель  магазина.  

 

Так вот модуль Firewall  - отфильтрует такой вот запрос и не даст выполнится ему - это первое. 

А второе - что скорее всего злоумышленник не сможет даже  воспользоваться  дырой модуля, которую создал случайно программист Иванов, так как  модуль Firewall запретит ему выполнять этот запрос.

 

Ситуация 2.

 

Боты, которые сканируют Ваш сайт по своих потребностях - дают нагрузку на Ваш сервер.  

Модуль firewall отклоняет их.  

Share this post


Link to post
Share on other sites

как думаете модуль грузит сервер или движек

Share this post


Link to post
Share on other sites

ага. т.е. реальных примеров у вас нет?

Share this post


Link to post
Share on other sites

как думаете модуль грузит сервер или движек

 

В данном случаи движек будет больше грузить.

Попробую Вам объяснить.:

 

При запуске странице Идет инициализация полностью движка, при этом выполняется десяток запросов в базу, вывод несколько кб информации, обработка настроек и вывод всех модулей.

 

При работе через модуль - нагрузка только идет на проверку и анализ запроса + 2 запроса в базу . 

И если запрос плохой или бот - инициализацию движка прекращаем.  

Share this post


Link to post
Share on other sites

ага. т.е. реальных примеров у вас нет?

 

Ага, я смотрю Вы программист, много расширений сделали...  но не как не можете понять что это и есть реальные примеры.  

 

Может я конечно чего то не понимаю )))  но опишите какой бы Вы пример хотели бы увидеть?  Или точнее что в нем должно быть?  

И мы постараемся организовать.

 

Ну в принципе, мне Ваша позиция понятна ответов.  Вы скорее всего не когда не разбирались в работе вредоносных скриптов, потому Вам сложно понять мои примеры выше.  )))

Share this post


Link to post
Share on other sites

Да и платные сканеры для тестов подобных уязвимостей и работы Firewall - наверное просто так в интернете выдумали)))))   

Тех, которые вот уже набили статистику для просмотра.

 

Ну да.. это же все иллюзия и не реальность..)))))  

Share this post


Link to post
Share on other sites

Ну так покажите хоть одну уязвимость, обнаруженную платными сканерами безопасности? Или покажите опасную сигнатуру атаки, которая без вашего файрвола приведет к заливке шела.

Share this post


Link to post
Share on other sites

а что удалили модуль то?

Share this post


Link to post
Share on other sites

webds, элементарно. ваше творение позиционируется как защита. вот я и хочу понять от чего он может защитить. выше я попросил простой пример уязвимости, ответа так и не получил.

вы же эксперт в безопасности

  • +1 1

Share this post


Link to post
Share on other sites

Условно, защита от разработчика.

Т.е. фильтруется пост и гет на известные сигнатуры,  и не пустит, например post c известной сигнатурой шела

Отрубит ботов например без referer, ,без UA или же... опять по известной сигнатуре запроса, или частотой опроса, а возможно и баном по айпи

В принципе, можно фильтровать и uri по известным путям, чтоб не отдавать 404, тупо банить сразу,

В настройки не смотрел, но может быть и запрет прямого доступа к методам модулей если им не разрешить ...

Но это не панацея, потому, что неизвестно что у самого модуля лежит в мозгах и как часто обновляются сигнатуры, источники сигнатур и прочее..

Share this post


Link to post
Share on other sites

Если модуль дырявый, то и "защитник" не спасёт, а так... то опен сам по себе фильтрует запросы и не дает прямых обращений к методам.

Share this post


Link to post
Share on other sites
RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)

RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

 

Кто мне помешает  выполнить /catalog/controller/module/mymodule.php?

Share this post


Link to post
Share on other sites

Вот есть public function upload в catalog\controller\product\product.php ... для загрузки файлов, но толку от этого - никакого, а вот если намеренно подкорректировать пару строк - тогда это потенциальная брешь, свозь которую можно "впихнуть невпихуемое"

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By TimRod
      850.00 руб
      Скачать/Купить дополнение


      OCCleaner - очистка и оптимизация
      Описание
      OCCleaner - Это профессиональный инструмент очистки и оптимизации. С его помощью Вы сможете ускорить работу и повысить безопасность Вашего магазина OpenCart!

      DEMO
      Панель администратора: demo/demo | Перейти

      Совместимость с OpenCart и OCStore
      2.2.0.0, 2.3.0.x, 3.0.x.x

      Локализации
      Русский, Английский

      Основные возможности
      - Очистка системного мусора и временных файлов;
      - Поиск и удаление ненужных изображений (умный алгоритм анализа базы данных и файлов OpenCart);
      - Очистка файловой системы от мусора и остаточных файлов;
      - Оптимизация и очистка базы данных;
      - Полный анализ в один клик;
      - Максимальное предоставление информации об обнаруженных объектах;
      - Предоставление инструментов безопасности административной панели;
      - Интуитивно понятный и простой интерфейс;
      - Работает с помощью ajax, без перезагрузки страницы;

      Очистка файловой системы
      - Очистка системного кэша
      - Очистка кэша изображений
      - Очистка кэша VQMOD
      - Очистка файлов журналов
      - Поиск и удаление неиспользуемых изображений
      - Поиск и удаление пустых папок
      - Поиск и удаление неиспользуемых локализаций (языковые файлы)

      Оптимизация базы данных
      - Поиск и удаление неиспользуемых опций
      - Поиск и удаление неиспользуемых атрибутов
      - Поиск и удаление пустых групп атрибутов
      - Поиск и удаление пустых категорий
      - Поиск и удаление товаров без изображений

      Безопасность
      1. Секретная ссылка
      Доступ в административную панель только по секретной ссылке. Пример: http://suite.ru/admin/?key=value.
      Все остальные получат ошибку - 404 (страница не существует).
      2. Блокировка по IP
      Доступ в административную панель только с указанных IP адресов. Все остальные получат ошибку - 403 (Доступ запрещён).
      3. Google Recaptcha v.2
      Защита страницы входа от перебора паролей. В отличии от бесплатных аналогов yе требует дополнительной настройки отдельного модуля Google ReCaptcha и не допускает валидации логина и пароля, пока проверка ReCaptcha не будет пройдена.

      Установка, обновление, активация
      Подробная инструкция по установке, обновлению и активации находится в архиве модуля!

      Системные требования
      - PHP: >= 5.6.
      - Модуль PHP: php_fileinfo.
      - Любой современный браузер с поддержкой ECMAScript5 и выше.
       
      Если у Вашего хостинг-провайдера сильные ограничения по использованию памяти или времени выполнения PHP скрипта, функция поиска неиспользуемых изображений может не работать!

      Лицензия
      - Лицензия на модуль распространяется на 1 домен + 1 поддомен бесплатно.
      - Вы не можете продавать или перепродавать этот модуль без письменного разрешения от автора (TimRod).
      - Вы не можете давать в качестве подарка или распространять этот модуль без письменного разрешения от автора (TimRod).
      - Вы не можете представлять этот модуль как ваш собственный. Пожалуйста уважайте время и труд, которое автор потратил на создание этого модуля.
      - Вы не можете удалять копирайт из файлов модуля от автора (TimRod).
      - Активация происходит только теми способами, которые указаны в инструкции.

      Обратная связь
      Если у Вас появился вопрос, предложение по расширению функционала или Вы нашли ошибку, пишите на e-mail: [email protected] или через систему личных сообщений.
      Добавил TimRod Добавлено 27.08.2019 Категория Модули Системные требования PHP: >= 5.6, Модуль PHP: php_fileinfo, Любой современный браузер с поддержкой ECMAScript5 и выше. Метод активации По запросу в ЛС
      По запросу на почту Ioncube Loader Нет OpenCart 3.0
      2.3
      2.2 ocStore 3.0
      2.3
      2.2 OpenCart.Pro, ocShop Opencart.pro 2.3 Обращение к серверу разработчика Нет Старая цена 0  
    • By TimRod
      Описание
      OCCleaner - Это профессиональный инструмент очистки и оптимизации. С его помощью Вы сможете ускорить работу и повысить безопасность Вашего магазина OpenCart!

      DEMO
      Панель администратора: demo/demo | Перейти

      Совместимость с OpenCart и OCStore
      2.2.0.0, 2.3.0.x, 3.0.x.x

      Локализации
      Русский, Английский

      Основные возможности
      - Очистка системного мусора и временных файлов;
      - Поиск и удаление ненужных изображений (умный алгоритм анализа базы данных и файлов OpenCart);
      - Очистка файловой системы от мусора и остаточных файлов;
      - Оптимизация и очистка базы данных;
      - Полный анализ в один клик;
      - Максимальное предоставление информации об обнаруженных объектах;
      - Предоставление инструментов безопасности административной панели;
      - Интуитивно понятный и простой интерфейс;
      - Работает с помощью ajax, без перезагрузки страницы;

      Очистка файловой системы
      - Очистка системного кэша
      - Очистка кэша изображений
      - Очистка кэша VQMOD
      - Очистка файлов журналов
      - Поиск и удаление неиспользуемых изображений
      - Поиск и удаление пустых папок
      - Поиск и удаление неиспользуемых локализаций (языковые файлы)

      Оптимизация базы данных
      - Поиск и удаление неиспользуемых опций
      - Поиск и удаление неиспользуемых атрибутов
      - Поиск и удаление пустых групп атрибутов
      - Поиск и удаление пустых категорий
      - Поиск и удаление товаров без изображений

      Безопасность
      1. Секретная ссылка
      Доступ в административную панель только по секретной ссылке. Пример: http://suite.ru/admin/?key=value.
      Все остальные получат ошибку - 404 (страница не существует).
      2. Блокировка по IP
      Доступ в административную панель только с указанных IP адресов. Все остальные получат ошибку - 403 (Доступ запрещён).
      3. Google Recaptcha v.2
      Защита страницы входа от перебора паролей. В отличии от бесплатных аналогов yе требует дополнительной настройки отдельного модуля Google ReCaptcha и не допускает валидации логина и пароля, пока проверка ReCaptcha не будет пройдена.

      Установка, обновление, активация
      Подробная инструкция по установке, обновлению и активации находится в архиве модуля!

      Системные требования
      - PHP: >= 5.6.
      - Модуль PHP: php_fileinfo.
      - Любой современный браузер с поддержкой ECMAScript5 и выше.
       
      Если у Вашего хостинг-провайдера сильные ограничения по использованию памяти или времени выполнения PHP скрипта, функция поиска неиспользуемых изображений может не работать!

      Лицензия
      - Лицензия на модуль распространяется на 1 домен + 1 поддомен бесплатно.
      - Вы не можете продавать или перепродавать этот модуль без письменного разрешения от автора (TimRod).
      - Вы не можете давать в качестве подарка или распространять этот модуль без письменного разрешения от автора (TimRod).
      - Вы не можете представлять этот модуль как ваш собственный. Пожалуйста уважайте время и труд, которое автор потратил на создание этого модуля.
      - Вы не можете удалять копирайт из файлов модуля от автора (TimRod).
      - Активация происходит только теми способами, которые указаны в инструкции.

      Обратная связь
      Если у Вас появился вопрос, предложение по расширению функционала или Вы нашли ошибку, пишите на e-mail: [email protected] или через систему личных сообщений.
    • By webds
      DS Firewall OpenCart - модуль защиты интернет магазинов на OpenCart защита от интернет угроз.
      1 Защита cookies
      2 Защита от ботов
      3 Защита от XSS
      4 Mini dos защита
      5 Защита от sql-инъекций
      6 Защита от червя
      7 Запросы GET метод
      8 Запросы POST метод
      9 Защита запросов
      10 Защита URL
      список постоянно пополняется...
      Краткая презентация: DS Firewall (модуль защиты)
      Алгоритм работы модуля.
      Модуль состоит с двух частей.
      Админ часть
      Необходима для настроек и управления модулем.
      Пользовательская часть
      Это непосредственно сам скрипт защиты.
      Защита состоит с нескольких алгоритмов фильтрации, которые разделяют по типам.
      Основой алгоритм работы заключается в фильтрации запросов и выявление в запросе потенциально опасных данных.
      Под потенциально опасными данными имеется веду запросы, которые приходят на Ваш сервер от злоумышленников и несут в себе команды, sql иньекции, php код и.т.д.
      Также модуль отклоняет запросы от ботов и мини dos атак.
      Сейчас тестируется новая функциональность - фильтрация загрузки файлов на сайт.
      Идеи будущего:
      В планах - создание:
      IP фильтрации,
      гео фильтрации,
      менеджера условий, в котором каждый администратор сможет добавлять свои условия срабатывания модуля
      сканер прав доступа и установка рекомендуемых на каталоги и файлы.
      импорт базы черного списка IP

      Простой пример работы:
      К примеру ситуация. Вам нужен модуль форма обратной связи.
      Вы искали этот модуль и совсем не важно с каких источников, но нашли вроде то, что Вам необходимо было.
      Скачали, установили в свой магазин, настроили (модуль обратной связи), проверили его, вроде работает и все хорошо.
      Но к сожалению, мы не можем быть уверены в том, что этот модуль(к примеру: модуль обратной связи), который мы скачали - на 100% безопасен и в нем нет уязвимых мест и уязвимого кода.
      После установки такого модуля - мы можем дать злоумышленнику возможность сломать наш магазин.
      Взлом магазинов происходит с помощью передачи запросов с определенными командами, SQL инъекциями, PHP кодом на уязвимость в модуле, таким именно образом злоумышленник и получает доступ к Вашему магазину.
      Модуль защиты DS Firewall фильтрует запросы, отклоняя потенциально опасные.
      Внимание!
      Благодаря тому, что модуль запускается первее всего, соответственно первее чем магазин, через него проходят все запросы и он их обрабатывает, отклоняя все ненужные.
      Внимание!
      В модуле DS Firewall используется модуль Ioncube, который должен быть обязательно установлен на Вашем хостинге, сервере.
      Внимание!
      Модуль отлавливает все запросы. И не важно, запрос это на пользовательскую часть магазина или админ панель его или прямой запрос на вирус скрипт.
      Пример: Если у Вас в корне лежит скрипт под названием virus.php, злоумышленник пытается передать на него запрос http://мой_сайт/virus.php - модуль защиты DS Firewall и в этом случаи будет фильтровать запрос и не допустит передачи в запросах SQL инъекции, php кода и других опасных команд.
      Более подробно, о том как работают плохие модуля с уязвимостью в коде, как злоумышленники получают доступ к Вашим интернет магазинам и работу модуля защиты DS Firewall можно посмотреть в видео ниже.
      Также для более чем реального примера предлагаю посмотреть модуль с уязвимостью badmodule.
      скачать его можно, нажав ссылку далее : badmodule.zip
      Внимание!
      Устанавливайте этот модуль BADMODULE с уязвимостью ТОЛЬКО на тестовый магазин!
      Инструкция по проверке:
      1. Устанавливаем, копируем в свой интернет магазин
      2. Выводим модуль со схемой Product
      3. Проверяем сайт, вывод модуля
      4. Далее тестируем уязвимость, запрос http://адрес_Вашего_сайта/catalog/controller/module/badmodule.php?code=echo "phpinfo()";
      5. После чего, Вы увидите уязвимость, а именно то, что модуль выполнит php функцию, которою Вы передали в запросе и выведет информацию о PHP,
      Так после установки такого модуля, злоумышленник может сломать Ваш сайт.
      Модуль DS Firewall - остановит этот процесс, так как он фильтрует запросы и не дает их выполнять.
      Сейчас этот модуль "badmodule" установлен на другой тестовой площадке, ссылка ниже.
      http://oc-en.dev.webds.net/catalog/controller/module/badmodule.php?code=echo phpinfo();
      Но перейдя по ней Вы увидите запрет доступа!
      Внимание!
      Для большего убеждения в работе модуля DS FIREWALL, я готов в любое время по требованию, включить Teamview, создать конференцию и показать свой рабочий стол.
      При этом когда участники все будут готовы, я при них отключу модуль и каждый сможет выполнить свой вредоносный запрос на уязвимый модуль badmodule.[желательно не передавать функции которые что то удаляют)))))]
      После того, как все получат положительные ответы на свои запросы, увидят что в системе присутствует модуль с уязвимостью, я включу работу модуля защиты, и опять предложу всем сделать те же запросы.
      Внимание!
      Вредоносные запросы можете сами выдумывать! НО они не должны иметь последствия полного вывода из строя тест площадки магазина, так как другие конференц пользователи могут не успеть свои выполнить запросы.
      Установка DS Firewall (модуля защиты):
      Шаг 1.
      Скопировать в корень сервера архив upload.zip модуля DS Firewall.
      Шаг 2.
      Распаковать архив
      Шаг 3.
      Установить в админ панели
      Шаг 4.
      Перейти в раздел Настройки и выполнить 3 шага установки и настройи модуля.
      Внимание!
      1. Модуль не заменяет системных файлов (редактирование только htaccess) и не использует VQMOD.
      2. При трудностях с установкой, помочь в установке могу предоставить в течение 3 дней после покупки.
      3. При дополнительной финансовой поддержке модуля, Вы приобретаете постоянные 3 скидки. Детально можно прочесть об этом связавшись со мной или посмотрев демо.
      4. Установка модуля происходит по условию: 1 сайт = 1 покупка
      Демо:
      Адрес сайта: http:\\oc.dev.webds.net
      Админ панель : http:\\oc.dev.webds.net\admin
      логин и пароль : demo
      Видео "Что такое DS Firewall и для чего нужен":


      Условия покупки.
      Запрещена передача данного ПО третьим лицам, распространение от своего имени без получения разрешения автора модуля.
      Запрещается публикация, распространение модуля без согласия автора в любых целях, будь то ознакомительных или любых других..
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.